ares - lab n 1 - npafourmaux/ares/arest1v62_fr.pdf · master informatique ares architecture des r...

Master Informatique ARES Architecture des Reseaux

ARES - Lab n 1

Introduction a la plateforme d’experimentation

Ce premier support permet de se familiariser avec l’environnement d’experimentation des Lab de l’ARES. Nous debuteronspar quelques rappels sur l’analyse de trames (partie 1), puis nous presenterons l’outils de capture wireshark (partie 2). Nousdetaillerons ensuite l’environnement pratique utilise tout au long du semestre (la plateforme d’experimentation de la specialiteRES du Master d’Informatique, partie 3). Nous presenterons les possibilites de capture de trafic reseau sur cette plateforme etterminerons par la realisation d’un exercice pratique (partie 4). Avant la fin de la seance, n’oubliez pas de laisser l’environnementde travail dans son etat initial (partie 5). Une annexe situee a la fin de ce document est disponible pour vous aider dans vosanalyses grace a un rappel des diverses structures de donnees utilisees

1 Introduction a l’analyse de trames (sans ordinateur)

Pour etudier le trafic echange dans un reseau, les administrateurs utilisent couramment des outils de capture materiels oulogiciels (appeles sniffers). Les outils logiciels reposent sur un equipement non dedie (un PC equipe d’une carte reseau) et unprogramme realisant la capture et l’analyse multi-protocolaire (tel tcpdump, wireshark ou de nombreux autres logiciels).

1.1 Traces de trafic reseau

Les traces resultant de ces captures sont generalement realisees au niveau de la couche liaison et consistent en une sequence detrames (potentiellement partielles). Les trames sont les recopies binaires (binary dump) de celles observees par la carte et sontstructurees en octets, habituellement presentees en trois colonnes :

¶ · ¸

0000 00 50 7f 05 7d 40 00 10 a4 86 2d 0b 08 00 45 00 .P..}@.. ..-...E.0010 02 19 17 98 40 00 40 06 6c 14 0a 21 b6 b2 c0 37 ....@.@. l..!...70020 34 28 84 b3 00 50 b6 94 b0 b8 24 67 89 e9 80 18 4(...P.. ..$g....0030 16 d0 60 e4 00 00 01 01 08 0a 00 6f a7 32 00 00 ..‘..... ...o.2..0040 00 00 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 ..GET / HTTP/1.10050 .. .. .. .. .. ..

¶ la premiere colonne indique, avec 4 chiffres hexadecimaux, le rang du premier octet de la ligne courante dans la trame ;

· la seconde affiche la valeur hexadecimale de 16 octets captures a chaque ligne (un octet est represente par deux caractereshexadecimaux) ;

¸ la derniere represente a chaque ligne les caracteres ASCII correspondants aux 16 octets de la seconde colonne (la corres-pondance n’est significative que lorsque du texte “imprimable” se trouve encode dans ces octets).

Quelques remarques importantes avant d’illustrer une analyse :

• Dans la suite, nous capturerons principalement des trames Ethernet. Les cartes reseau peuvent limiter les informationsremontees au noyau, ainsi la representation des trames ne comporte ni preambule, ni CRC.

• Dans le monde professionnel, vous devrez respecter les usages afin de communiquer efficacement. Ainsi, respectezimperativement les conventions d’ecriture adaptees aux differents champs que vous analysez, par exemple :

– Adresses Ethernet : hexadecimale double pointee (ex : 00:50:04:ef:6b:18)

– Type Ethernet : hexadecimale (ex : 0x0806)

– Adresses IP : decimale pointee (ex : 10.1.1.3)

– Numero de protocole et numero de port : decimale (ex : 17)

– ...

1/14 Lab n 1 v6.2


1.2 Analyse manuelle

Afin de bien integrer les mecanismes mis en oeuvre par un outil d’analyse, etudions sur papier le debut d’une trame capturee surun reseau Ethernet. Cet exercice fastidieux est necessaire pour acquerir une bonne comprehension des mecanismes d’encapsulationet se premunir des potentielles erreurs d’interpretation des outils automatises. Les structures des protocoles rencontres sontrappelees page 13 :

0000 00 50 7f 05 7d 40 00 10 a4 86 2d 0b 08 00 45 00 .P..}@.. ..-...E.

0010 02 19 17 98 40 00 40 06 6c 14 0a 21 b6 b2 c0 37 ....@.@. l..!...7

0020 34 28 84 b3 00 50 b6 94 b0 b8 24 67 89 e9 80 18 4(...P.. ..$g....

0030 16 d0 60 e4 00 00 01 01 08 0a 00 6f a7 32 00 00 ..‘..... ...o.2..

0040 00 00 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 ..GET / HTTP/1.1

0050 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 78 69 72 63 ..Host: www.xirc

0060 6f 6d 2e 63 6f 6d 0d 0a 55 73 65 72 2d 41 67 65 om.com.. User-Age

0070 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 nt: Mozi lla/5.0

0080 28 58 31 31 3b 20 55 3b 20 4c 69 6e 75 78 20 69 (X11; U; Linux i

0090 36 38 36 3b 20 65 6e 2d 55 53 3b 20 72 76 3a 31 686; en- US; rv:1

00a0 2e 30 2e 30 29 20 47 65 63 6b 6f 2f 32 30 30 32 .0.0) Ge cko/2002

00b0 30 36 32 33 20 44 65 62 69 61 6e 2f 31 2e 30 2e 0623 Deb ian/1.0.

00c0 .. ..

1. Detaillez la structure de la trame en dessinant directement ses delimitations sur la trace a analyser.

2. Quelles informations de la couche liaison pouvez-vous observer ?

2/14 Lab n 1 v6.2


3. Representez la structure du paquet directement sur la trace a analyser. Quelle est la taille de ce paquet et qu’en deduisez-vous ? Le paquet contient-il des options et quel en est l’effet sur la structure du paquet ? Precisez la source et le destinatairedu paquet.

4. Representez la structure des donnees transportees par le paquet directement sur la trace. Quel est le protocole de transportutilise ? Quels sont les ports utilises ? Quelle est leur signification ?

5. Il n’y a pas de documentation correspondant a la couche application a la fin du document, malgre cela, pouvez vousobserver des informations associees a ce niveau dans la trace ?

2 Analyse de trames avec wireshark

Le logiciel wireshark1 est outils de capture de trame et d’analyse de protocoles. Celui-ci peut utiliser directement l’interfacede votre machine pour capturer des trames circulant sur le reseau local puis les analyser. Pour cette section, nous allons nouslimiter a la fonction d’analyse de protocole en chargeant une capture deja realisee a partir d’un fichier.

Figure 1 – Fenetre principale de wireshark

Pour pouvoir travailler les exercices a l’exterieur de l’universite, vous pouvez recopier les traces realisees pendants les seancesou telecharger celles disponibles dans la page web suivante :

http://www-rp.lip6.fr/~fourmaux/Traces/labV6.html

2.1 Introduction a wireshark

Sur la machine face a votre binome, connectez-vous a votre compte sous GNU/Linux. Cet ordinateur, gere par l’ARI2, accedea l’Internet et a diverses ressources sensibles, vous n’y avez pas les droits d’administrateur (root). Or les logiciels d’analysede trames requierent ceux-ci pour realiser des captures a partir de votre carte reseau. Pour utiliser seulement la partie analysemulti-protocolaire de ces logiciels, vous pouvez les executer avec les droits limites des utilisateurs, ce qu’il faudra donc veiller afaire explicitement sur les machines de l’ARI. Dans les sections suivantes nous etudierons comment realiser des captures, maissur d’autres machines.

1wireshark est un logiciel libre. Il est disponible sur un grand nombre de plates-formes materielles et systemes d’exploitation (outre les machinesa architecture i686 avec systeme GNU/Linux que vous utilisez actuellement). Vous pouvez le telecharger sur http://www.wireshark.org.

2Atelier de Ressources Informatiques dedie aux enseignements du domaine Informatique de la faculte d’Ingenierie de l’UPMC.

3/14 Lab n 1 v6.2


Recherchez dans les sous-menu du menu “Application”, vous devez trouvez un item “Wireshark”. Selectionnez le et executerle sans les droits d’administrateur3.

Une fois l’application lancee, la nouvelle fenetre apparue est initialement vide car aucune capture n’a ete realisee ou chargee.Une barre de menu se trouve en haut de celle-ci. Pour charger une trace a etudier, cliquez sur le menu “File” et selectionnez“Open”. Une fenetre de selection de fichier “Open Capture Files” apparaıt. Choisissez le fichier :

/Infos/lmd/2012/master/ue/ares-2012oct/tme1.dmp.gz

Ne pas specifier de filtres dans le champ “Filter” (nous y reviendrons plus loin). Desactivez : o “Enable MAC name resolution”,

o “Enable network name resolution” et o “Enable transport name resolution”. Validez avec Ouvrir : La trace d’une captureprecedemment realisee est chargee et vous allez pouvoir l’analyser. Vous devez observer dans la fenetre de l’application unaffichage similaire a celui presente dans la Figure 1.

1. Decrivez le contenu des trois fenetres proposees par wireshark.

2. Dans quels formats sont representes les donnees de la troisieme fenetre ?

3. Quels sont les differents protocoles que vous pouvez observer dans la capture affichee ?

4. Combien de protocoles est capable d’analyser la version de wireshark que vous utilisez ?

2.2 Filtres d’affichage et de coloriage de wireshark

1. Avec la rubrique d’aide (cliquez sur le menu “Help” et selectionnez “Manual Pages”), decrivez la syntaxe utilisee par lesfiltres d’affichage et de coloriage (Display filters). Ces filtres ne doivent pas etre confondus avec les filtres de capture quirepondent a une autre syntaxe que nous n’utiliserons pas.

2. Decrivez un filtre qui ne selectionne que les trames contenant le protocole applicatif NTP. Pour vous aider, le menu

“Analyse” propose “Display Filters...” qui affiche une fenetre d’edition de filtre. Le bouton +Expression autorise a la

creation interactive de l’expression correspondante. Appliquez ce filtre. Qu’observez-vous ?

3. Supprimez le filtre precedent et coloriez en violet les trames contenant du protocole NTP.

4. Vous pouvez egalement combiner les filtres a l’aide des operateurs booleen usuels. Filtrez l’affichage pour ne conserverque les trames contenant du protocole NTP et celles contenant du protocole DNS.

2.3 Analyse d’un trafic HTTP

Dans la continuite de la trame etudiee manuellement dans la section precedente :

1. Pouvez-vous retrouver la trame analysee manuellement dans la trace que vous avez chargee ? Le cas echeant, confrontezvotre analyse a celle realisee par wireshark.

2. Selectionnez et affichez toutes les trames relatives a la connexion TCP demarrant a la trame 8, puis coloriez en rougeseulement celles contenant des donnees HTTP.

3. Decrivez ce que vous observez dans le reste de la trace. Precisez s’il y a plusieurs connexions, et le cas echeant, leurrelation.

4. Peut-on visualiser simplement le contenu applicatif d’une connexion TCP avec wireshark ?

3 Presentation de la plateforme d’experimentation

La principale limitation des postes ARI, sur lesquels vous travaillez, est l’impossibilite de realiser des captures par vous-memesen temps reel. Afin de pallier cette limitation et d’offrir l’acces a un grand nombre d’equipements reseau, une plateformed’experimentation a ete installee dans la salle.

L’ajout de cette plateforme reseau permet de faire evoluer le poste ARI habituel d’un simple PC vers un poste d’acces etde controle des differents element de la plateforme (machines terminales, commutateurs et routeurs), tout en y conservant lesservices usuels de l’ARI (acces aux comptes utilisateurs, aux logiciels habituels et a l’Internet). Cette evolution est presenteedans la Figure 2.

3Si le choix d’une execution avec ou sans les droits d’administrateur n’apparait pas, vous aurez peut etre a specifier ulterieurement. En cas d’echec,generalement lie a l’execution proposee par votre environnement qui essaye d’utiliser le mode administrateur (mode par defaut de la commandewireshark relative au $PATH local), vous pouvez demarrer en mode textuel (dans un terminal) : Tapez alors la commande /usr/sbin/wireshark.

4/14 Lab n 1 v6.2


(2003-2009)

SwitchX 16

(2009-…)

X 16

PC server

console ctrl

PC probe

Router

PC client

PC ARI PC ARI

power ctrlInternet

via ARI

Internet

via ARI

Figure 2 – Evolution du poste etudiant

3.1 Composition materielle de la plateforme d’experimentation

Deux baies (racks) 19” hautes de 42U concentrent les equipements des plates-formes de la salle :

• des commutateurs (switchs) CISCO Catalyst 2950-12, 12 ports 100BaseT :

– acces aux fonctions de controle des ports et VLAN

– gestion de la recopie de port (pour la capture detrames)

• des routeurs CISCO 2801, 2 ports 10/100BaseT, IOS12.4 avec deux niveaux de service :

– IP Base : IPv4, RIP, OSPF, IGMP, Netflows, QoS,RSVP, DiffServ, DHCP, NAT, SNMP, RMON,NTP, L2TP, AAA...

– Advanced IP Services : IOS IP Base + IPv6,BGP, Mobile IP, VoIP, SIP, H323, Firewall, IPSEC,VPN, AES...

• des PC “rackables” 1U, mono-proc. Intel XEONQuadCore (X3220, 2.4GHz), 4Go RAM DDR2 667MHz,HD 250Go 7K2Tm, 4 NIC Ethernet 1000BaseT,executant des machines virtuelles (VM) avec :

– Debian GNU/Linux incluant un environnementreseau Unix classique (Telnet, SSH, FTP, TFTP,SCP, SFTP, HTTP, SMTP, POP, IMAP, Webmail,SNMP, DNS...)

3.2 Usage etudiant de la plateforme d’experimentation

Chaque binome etudiant accede a la plateforme via un poste generique de l’ARI de la salle. Ces postes sont des PC equipesde deux cartes reseau. L’une permet l’acces au reseau habituel de l’ARI et donc a l’Internet, l’autre permet l’acces direct auxequipements de la plateforme. Ainsi, l’acces a la plateforme se fait soit physiquement via le poste ARI de cette salle (31-208) oua distance via SSH sur ce meme poste (ssh -X ari-31-208-N). Il n’y a pas de routage ou relayage entre le reseau de l’ARIet celui de la plateforme assurant ainsi l’isolation du reseau experimentation.

Les postes ari-31-208-01 a ari-31-208-08 sont connectes sur la baie 1 et les postes ari-31-208-09 a ari-31-208-16sur la baie 2.

5/14 Lab n 1 v6.2


Appelons N la valeur du dernier nombre du nom de la machine ARI utilisee. Le poste ARI N peut acceder directement a 3equipements dedies de la plateforme d’experimentation :

• le commutateur N

• le routeur N

• le PC N utilise pour faire tourner plusieurs machines viruelles (VM) :

– la VM “client” N1

– la VM “sonde” N2

– la VM “serveur” N3

La configuration des VM est presentee dans la Figure 3.

PC N

PC ARI N

Admin.

network eth0eth1

Experimentation

networks of

host N

VM N1

VM N2

VM N3

eth0

eth0

eth0 eth1 eth3

eth1 eth2

eth1 eth1

Figure 3 – Configuration des 3 VM de la plate-forme

Les identifiants et mots de passe necessaires des differents equipements seront fournis lors des seances par lesencadrants selon les besoins.

3.3 Topologies realisables

La plateforme d’experimentation a pour but de proposer differentes topologies reseau virtuelles a partir d’une configurationphysique figee (les baies sont fermees et inaccessibles aux etudiants). La topologie physique correspond donc au cablage reliant leposte ARI aux equipements directement accessibles a celui-ci. La Figure 4 presente ces liens physiques sur lesquels transiterontvos paquets.

3.3.1 Topologie 1 (sans routeur – premiers labs)

A partir de la topologie physique, une premiere configuration virtuelle correspond a un simple reseau local sur lequel s’echangedu trafic entre deux hotes. La Figure 5 represente le poste de l’ARI relie aux equipements etudies (VM “client”, VM “sonde”,VM “serveur” et commutateurs) via un reseau d’administration (VLAN 200). Une fois connecte aux VM de la plateforme, lesapplications client/serveur peuvent etre lancees pour echanger du trafic sur un reseau dedie (VLAN N1) et la VM “sonde” peutcapturer celui-ci avec une application d’analyse de trames.

3.3.2 Topologie 2 (avec un routeur – labs suivants)

La seconde configuration virtuelle integre un routeur entre deux reseaux locaux avec un hote sur chacun. Elle est presentee surla Figure 6. Le reseau d’administration (VLAN 200) est toujours present pour acceder aux equipements (dont le routeur). Lamodification porte principalement sur les deux reseaux dedies au trafic d’experimentation de chaque cote du routeur (VLAN N1et VLAN N2). Cette configuration permettra d’etudier le comportement du trafic route, grace a la VM “sonde” qui peut capturercelui-ci avec une application d’analyse de trames.

6/14 Lab n 1 v6.2


Internet

via ARI

VM N3

VM N1

PC ARI N

Router N

Switch N

Admin. switch

VM N2

Figure 4 – Topologie physique associee a un poste ARI

Internet

via ARI

VM N3

VM N1

PC ARI N

Admin. network 10.0/16

(VLAN 200)

Single LAN

10.N/16

(VLAN N1)

7.N3

7.N2

7.N1ari-31-208-N

0.N

Switch N

2.N

N1.1

N1.3

N1.253

VM N2

Figure 5 – Topologie virtuelle 1 (un LAN)

Internet

via ARI

VM N3

VM N2

VM N1Admin. network 10.0/16

(VLAN 200)

VLAN N110.N.N1/24

7.N3

7.N2

7.N1

ari-31-208-N

0.N

Switch N

2.N

1

3VLAN N2

10.N.N2./24

3.N

254

254

PC ARI N

Router N

Figure 6 – Topologie virtuelle 2 (deux LAN et un routeur)

7/14 Lab n 1 v6.2


3.3.3 Topologie 3 (avec plusieurs routeurs – dernier lab et pour d’autres cours)

Des configurations plus evoluees seront egalement proposees, en particulier pour aborder le routage multi-saut (plusieurs routeursavec les protocoles RIP, OSPF ou BGP) et servir a d’autres U.E. de la specialite RES.

3.3.4 Conventions d’adressages IPv4 relative au poste N

Deux types de VLAN sont utilises sur la plate-forme d’experimentation :

• Le VLAN d’administration (VLAN 200) et ses adresses IPv4 d’administration pour :

– l’interface eth1 du poste ARI N (acces a la plate-forme via le reseau d’administration) : 10.0.0.N

– les commutateurs : 10.0.2.N

– les routeurs : 10.0.3.N

– les VM “client” N1 (eth0) : 10.0.7.N1

– les VM “sonde” N2 (eth0) : 10.0.7.N2

– les VM “serveur” N3 (eth0) : 10.0.7.N3

• Les VLAN d’experimentation (VLAN Nv avec 0 < v) et leurs adresses IPv4 d’experimentation pour :

– les VM “client” N1 des VLAN Nv (eth1) : 10.N.v.N1

– les VM “server” N3 des VLAN Nv (eth1) : 10.N.v.N3

– les routeurs des VLAN Nv : 10.N.v.254

3.4 Utilisation courante pour generer du trafic et le capturer

Le poste ARI est relie au reseau d’administration de la plate-forme d’experimentation par son interface eth1 (voir sur laFigure 3). La commande Unix /sbin/ifconfig permet de verifier la configuration des interfaces d’une machine (vouspouvez preciser le nom de l’interface a la suite). Si l’interface eth1 est inexistante, redemarrez votre poste ARI.

3.4.1 Controle a distance des 3 VM de la plateforme

Quelle que soit la topologie utilisee, pour demarrer toute utilisation de la plateforme, il est necessaire de controler les hotesrequis via des sessions SSH depuis le poste de l’ARI sur lequel vous travaillez. Par exemple, si nous souhaitons utiliser les troisVM de la plateforme qui nous sont associes, il nous faudra ouvrir trois terminaux textuels a travers lesquels les equipementsconcernes seront supervises (le login est etudiant, ou root si besoin, et le mot de passe sera fourni par votre encadrant). Entravaillant a partir du poste N :

• fenetre 1 (hote “client”) : tapez ssh -X [email protected]

• fenetre 2 (hote “sonde”) : tapez ssh -X [email protected]

• fenetre 3 (hote “serveur”) : tapez ssh -X [email protected]

L’option “-X” signifie que l’environnement graphique de la machine distante (fenetres X11) sera redirige sur le poste local.Cela n’est pas necessaire si le controle est uniquement textuel.

Les VM de la plate-forme sont reliees au reseau d’administration par leur interface eth0 et aux reseaux d’experimentation viaeth1 (voir sur la Figure 3). La commande Unix /sbin/ifconfig permet de verifier la configuration des interfaces. Dans les 3terminaux precedemment lances, executez cette commande. Vous devez observer un affichage similaire a celui de la Figure 7.

3.4.2 Execution de wireshark et lancement de la capture

Dans la suite, nous etudierons principalement des applications et des protocoles client/serveur. La VM “client” et la VM“serveur” seront donc utilisees pour analyser les echanges reseau associes. La VM “sonde” va permettre de faire des capturesde trafic a l’aide du logiciel wireshark. Celui-ci pourra utiliser directement l’interface eth1 de cette machine pour ecouter lesinformations circulant sur le reseau d’experimentation. Cette interface doit etre configuree en mode ”promiscuous” afin d’accedera tout le trafic et pas seulement celui qui lui est est explicitement destine. Pour utiliser ce mode, l’application doit etre executeeavec les privileges de l’administrateur (utilisateur root sous Unix). C’est pour cela que l’on se connecte a la “sonde” avec cet

8/14 Lab n 1 v6.2


Figure 7 – Sessions SSH a partir du poste ari-31-208-01

Figure 8 – Demarrage de wireshark avec les privileges administrateur

utilisateur . Attention, l’utilisation de commandes en tant qu’administrateur peut serieusement impacter le systemeque vous utilisez. Soyez donc precautionneux et effectuez imperativement des sauvegardes de tout les fichiers quevous modifiez.

Une fois que vous etes l’utilisateur root, lancez wireshark de la fenetre de la “sonde” et une nouvelle fenetre en provenancede la VM “sonde” apparaıtra sur votre ecran (grace a la redirection X11). L’affichage doit etre similaire a la Figure 8. Cliquezsur le menu “Capture” et selectionnez “Interfaces...”. Une fenetre presentant les differentes interfaces de la machine apparaıt(voir la Figure 9). Selectionnez le champ “Options” de l’interface eth1 (elle n’a pas d’adresse IPv4, seulement une adresseIPv6).

Une nouvelle fenetre apparaıt (voir la Figure 10). Ne pas specifier de filtres dans le champ “Capture Filter”. Desactivez :

o “Enable MAC name resolution”

o “Enable network name resolution”

o “Enable transport name resolution”

Initiez la capture avec Start : La capture demarre et vous pouvez observer du trafic en generant, par exemple, des demandesd’echo de la VM “client” vers la VM “serveur”. Utilisez pour cela la commande Unix ping 10.N.1.N3 dans la fenetre “client”,puis observez la capture dans la fenetre de wireshark (voir la Figure 11).

Pour arreter le ping, tapez Ctrl-C dans la fenetre de la VM “client”. N’oubliez pas d’arreter la capture avec le bouton

Stop dans la fenetre de capture.

9/14 Lab n 1 v6.2


Figure 9 – Demarrage d’une capture a partir de la VM “sonde” : liste des interfaces

Figure 10 – Options de capture associees a l’interface eth1

10/14 Lab n 1 v6.2


Figure 11 – Capture de trafic ping (paquets ICMP)

4 Exemple de capture et analyse de trames sur la plateforme reseau

On se place dans la premiere topologie virtuelle (un simple reseau local sur lequel s’echange du trafic entre deux hotes directementconnectes). La configurations des differents equipements est deja en place pour cette seance. Le poste ARI permet de seconnecter directement aux equipements necessaires (VM “client”, VM “sonde”, VM “serveur” et commutateur) via un LANd’administration (VLAN 200). Le navigateur firefox (sur la VM “clients”) et le serveur web apache (sur la VM “serveur”)peuvent echanger du trafic sur un LAN dedie (VLAN N1). La VM “sonde” peut capturer celui-ci avec wireshark.

4.1 Capture d’un trafic HTTP

En travaillant a partir du poste N :

• Se connecter sur les 3 hotes de la plateforme (si ce n’est deja fait), avec le login etudiant et le mot de passe fourni parvotre encadrant.

– fenetre 1 (hote “client”) : tapez ssh -X [email protected]

– fenetre 2 (hote “sonde”) : tapez ssh -X [email protected]

– fenetre 3 (hote “serveur”) : tapez ssh -X [email protected]

• Verifiez que le serveur HTTP tourne sur 10.0.7.N3 (fenetre 3)

– recherchez le processus du serveur web, tapez ps aux | grep apache

– visualisez la configuration des interfaces pour verifier l’adresse IP du serveur (/sbin/ifconfig eth1)

• Lancez l’analyseur sur 10.0.7.N2 (fenetre 2)

– lancez l’analyseur, tapez : wireshark

– initier la capture sur l’interface eth1, comme indique precedemment

• Demarrez un client web sur 10.0.7.N1 (fenetre 1)

– lancez le client, tapez : firefox (la version de ce navigateur sur Debian s’appelle iceweasel)

– ouvrez dans le navigateur la page http://10.N.1.N3

• Observez la capture dans la fenetre de wireshark, vous devez voir s’afficher quelque chose de similaire a la Figure 12.N’oubliez pas de terminer la capture.

11/14 Lab n 1 v6.2


Figure 12 – Capture de trafic HTTP

4.2 Analyse du trafic HTTP capture

Avec la trace realisee precedemment :

1. Selectionnez toutes les trames contenant des donnees HTTP.

2. Decrivez ce que vous observez, et s’il y a plusieurs connexions, quelle est leur relation ?

3. Observez le code source de la page affichee par le navigateur sur le client. Essayez de retrouver ou se trouve cette pagesur le serveur et verifiez que c’est ce contenu qui est passe sur le reseau.

5 Avant de quitter la salle

• Avant de terminer vos connexions sur les equipements de la plateforme, supprimez vos fichiers et modifications effectueesafin de retrouver l’etat initial.

12/14 Lab n 1 v6.2


Structure de la trame Ethernet.......+-48bits--+-48bits--+16b-+- - - - -+......

.(Pre.)| adresse | adresse |type| donnees |(CRC).

. | dest. | source | | | .

.......+---------+---------+----+- - - - -+......

Quelques types : 0x0200 = XEROX PUP

0x0800 = DoD Internet (IPv4)

0x0806 = ARP

0x8035 = RARP

Structure ARP+16b-+-16b-+8b+8b+16b+--lgHW--+lgP-+--lgHW--+lgP-+

|type|type |lg|lg|Op |Emetteur|Emt.|Recept. |Rcpt|

|HW |Proto|HW|P | |adr. HW |adrP|adr. HW |adrP|

+----+-----+--+--+---+--------+----+--------+----+

Quelques types : 0x0001 = Ethernet

0x0800 = DoD Internet (IPv4)

Operations : 0x0001 = Requete

0x0002 = Reponse

Structure du paquet IPv4<-----------------32bits----------------------->

<-4b-> <--8bits---><--------16bits-------->

+-----+-----+-----------+-----------------------+

| Ver | IHL | TOS | Longueur totale (octet)

+-----+-----+-----------+--+--------------------+

| Identificateur |Fl| FO |

+-----------+-----------+--+--------------------+

| TTL | Protocole | Somme de ctrl (entete)|

+-----------+-----------+-----------------------+

| Adresse Source |

+-----------------------------------------------+

| Adresse Destination |

+-----------------------------------------------+

... Options

+-----------------------------------------------+

... Donnees

+-----------------------------------------------+

Ver = Version d’IP

IHL = Longueur de l’en-tete IP (en mots de 32 bits)

TOS = Type de service (zero generalement)

Fl (3 premiers bits) = Bits pour la fragmentation

* 1er = Reserve

* 2me = Ne pas fragmenter

* 3me = Fragment suivant existe

FO (13 bits suivants) = Decalage du fragment

TTL = Duree de vie restante

Quelques protocoles: 8 = EGP

1 = ICMP 11 = GLOUP

4 = IP (encapsulation) 17 = UDP

6 = TCP 46 = RSVP

Structure du paquet ICMP<-----------------32bits----------------------->

+-----------+-----------+-----------------------+

| Type | Code | Somme de controle (msg)

+-----------+-----------+-----------------------+

| Variable (generalement non utilise) |

+-----------------------------------------------+

... Datagramme original + 8 octets

+-----------------------------------------------+

Quelques types ICMP : 8 = Demande d’echo

0 = Reponse d’echo

11 = Duree de vie ecoulee

12 = Erreur de parametre

Structure de segment TCP<-----------------32bits----------------------->

<-4b-> <-6bits-><--------16bits-------->

+-----------------------+-----------------------+

| Port Source | Port Destination |

+-----------------------+-----------------------+

| Numero de Sequence |

+-----------------------------------------------+

| Numero d’Acquittement |

+-----+-------+---------+-----------------------+

| THL | | Flag | Taille Fenetre |

+-----+-------+---------+-----------------------+

| Somme de ctrl (message) Pointeur d’Urgence |

+-----------------------+-----------------------+

... Options

+-----------------------------------------------+

... Donnees

+-----------------------------------------------+

THL = Longueur de l’entete TCP sur 4 bits (*32bits)

Flags = indicateur code sur 6 bits gauche a droite

* 1er = Donnees urgentes (URG

* 2me = Acquittement (ACK)

* 3me = Donnees immediates (PSH)

* 4me = Reinitialisation (RST)

* 5me = Synchronisation (SYN)

* 6me = Terminaison (FIN)

Options = suites d’option codees sur

* 1 octet a 00 = Fin des options

* 1 octet a 01 = NOP (pas d’operation)

* plusieurs octets de type TLV

T = un octet de type:

2 Annonce de la taille max. du segment

3 Adaptation de la taille de la fenetre

4 Autorisation des acquittements selectifs

8 Estampilles temporelles

L = un octet pour la taille totale de l’option

V = valeur de l’option (sur L-2 octets)

Structure de datagramme UDP<-----------------32bits----------------------->

+-----------------------+-----------------------+

| Port Source | Port Destination |

+-----------------------+-----------------------+

| Longueur UDP | Somme de ctrl (message)

+-----------------------+-----------------------+

... Donnees

+-----------------------------------------------+

Services associes aux portsftp-data 20/tcp

ftp 21/tcp

ssh 22/tcp ssh 22/udp

telnet 23/tcp

smtp 25/tcp

domain 53/tcp domain 53/udp

tftp 69/udp

www 80/tcp www 80/udp

kerberos 88/tcp kerberos 88/udp

pop-3 110/tcp pop-3 110/udp

snmp 161/udp

snmp-trap 162/udp

13/14 Lab n 1 v6.2


14/14 Lab n 1 v6.2

ares - lab n 1 - npafourmaux/ares/arest1v62_fr.pdf · master informatique ares architecture des r...

Documents